ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA10616
Múltiples vulnerabilidades en Microsoft Office
Actualizado: 07/05/2018
Fecha de detección
?
12/09/2014
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades serias en los productos de Microsoft Office. Los usuarios malintencionados pueden explotar estas vulnerabilidades para ejecutar código arbitrario, causar denegación de servicio, pérdida de integridad, omisión de seguridad, escalada de privilegios y obtener información confidencial.

A continuación hay una lista completa de vulnerabilidades

  1. Microsoft Office maneja incorrectamente objetos en la memoria al analizar archivos de Office diseñados que pueden conducir a la ejecución de código arbitrario en el contexto del usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados.
  2. La vulnerabilidad en el componente Microsoft IME (japonés) puede llevar a obtener acceso al sistema afectado con derechos de usuario conectados. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados.
  3. La biblioteca de controles comunes de MSCOMCTL no implementa ASLR correctamente, lo que puede derivar en eludir la función de seguridad ASLR a través del sitio web creado. Esta vulnerabilidad también conocida como "vulnerabilidad MSCOMCTL ASLR".
  4. Microsoft Office no maneja adecuadamente una respuesta elaborada al abrir un documento de Office a través del sitio web, lo que puede conducir a la obtención de información token sensible. Esta información se puede utilizar para autenticar al usuario actual en un servicio en línea de Microsoft específico. Esta vulnerabilidad también conocida como "Vulnerabilidad de reutilización de testigos".
  5. Una vulnerabilidad en la biblioteca de Microsoft Publisher pubconv.dll puede llevar a la ejecución de código arbitrario como el usuario actual a través de archivos elaborados con la extensión '.pub'. Esta vulnerabilidad también conocida como "vulnerabilidad de desreferencia de puntero arbitrario".
  6. Microsoft Office ha asignado memoria incorrectamente al convertir archivos especialmente diseñados a un formato más nuevo que puede llevar a la ejecución de código arbitrario. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados.
  7. Microsoft Word tiene una vulnerabilidad de desbordamiento del buffer de pila al abrir documentos especialmente diseñados. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario como el usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados. Esta vulnerabilidad también conocida como "vulnerabilidad de desbordamiento de pila de Microsoft Word".
  8. Microsoft Word tiene vulnerabilidad de ejecución remota de código mientras analiza datos RTF especialmente diseñados. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario como el usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema.
  9. Microsoft Office tiene una vulnerabilidad de ejecución remota de código al abrir un documento de Office. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario y a la denegación de servicio. Además, los usuarios malintencionados pueden obtener acceso al sistema afectado con derechos de usuario conectados. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados. Esta vulnerabilidad también conocida como "Vulnerabilidad de daños en la memoria de Word".
  10. Microsoft OneNote tiene vulnerabilidad de ejecución remota de código al abrir un archivo OneNote elaborado. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario como el usuario actual. Si el usuario actual tiene derechos administrativos de usuario, los usuarios malintencionados podrían tomar el control total del sistema. Los usuarios que tienen menos derechos de usuario podrían verse menos afectados. Esta vulnerabilidad también conocida como "vulnerabilidad de ejecución remota de código de OneNote".
  11. Una vulnerabilidad en la biblioteca usp.dll del procesador de scripts Unicode puede llevar a la ejecución de código arbitrario o a la denegación de servicio. Además, los usuarios malintencionados pueden tomar el control total del sistema. Esta vulnerabilidad también conocida como "Vulnerabilidad del procesador de scripts Unicode".
  12. Vulnerabilidad en GDI + que puede llevar a la ejecución de código arbitrario a través de un archivo de imagen creado. Además, los usuarios malintencionados pueden tomar el control total del sistema. Esta vulnerabilidad también conocida como "vulnerabilidad de análisis de imágenes GDI +".
Productos afectados

Microsoft Office 2003,
Microsoft Office 2007,
Microsoft Office 2010,
Microsoft Office 2013,
Microsoft Office 2013 RT,
Microsoft Office para Mac,
Microsoft Word Viewer,
Aplicaciones web de Microsoft Office,
Microsoft SharePoint Server,
Paquete de compatibilidad de Microsoft Office,
Aplicaciones web de Microsoft Office,
Microsoft OneNote.

Solución

Instale las actualizaciones necesarias de la sección KB, que se enumeran en su Actualización de Windows (normalmente se puede acceder a la Actualización de Windows desde el Panel de control)

Notas informativas originales

MS14-081
MS14-082
MS14-083
MS14-078
MS14-069
MS14-061
MS14-048
MS14-036
MS14-034
MS14-023
MS14-024
MS14-020
MS14-017
MS14-001

Impactos
?
WLF 
[?]

RLF 
[?]

ACE 
[?]

OSI 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]

LoI 
[?]
Productos relacionados
Microsoft Office
CVE-IDS
?

CVE-2014-2815
CVE-2014-0260
CVE-2014-0259
CVE-2014-0258
CVE-2014-1761
CVE-2014-1758
CVE-2014-1757
CVE-2014-1756
CVE-2014-1808
CVE-2014-1809
CVE-2014-4117
CVE-2014-6335
CVE-2014-6334
CVE-2014-6333
CVE-2014-6361
CVE-2014-6360
CVE-2014-6364
CVE-2014-6357
CVE-2014-4077
CVE-2014-2778
CVE-2014-1817
CVE-2014-1818

Notas informativas oficiales de Microsoft
MS14-081
MS14-082
MS14-083
MS14-078
MS14-069
MS14-061
MS14-048
MS14-036
MS14-034
MS14-023
MS14-024
MS14-020
MS14-017
MS14-001
Listado KB

3017301
3017349
3017347
2992719
3009710
3000434
2969261
2961033
2961037
2950145
2949660
2916605
2977201
2967487


Enlace al original